Riconoscimento facciale dei dipendenti: sanzioni da parte del Garante della privacy
Erogate sanzioni in alcuni casi di utilizzo della tecnologia per il controllo delle presenze (Garante per la protezione dei dati personali, nota 28 marzo 2024, n. 520).
Il Garante per la protezione dei dati personali ha sanzionato 5 aziende - impegnate a vario titolo presso lo stesso sito di smaltimento dei rifiuti - con importi rispettivamente di 70.000, 20.000, 6.000, 5.000 e 2.000 euro, per aver trattato in modo illecito i dati biometrici di un numero elevato di lavoratori.
La motivazione dei provvedimenti presi dall'Autorità è che il riconoscimento facciale per controllare le presenze sul posto di lavoro viola la privacy dei dipendenti. Infatti, non esiste al momento alcuna norma che consenta l’uso di dati biometrici, come prevede il Regolamento, per svolgere una tale attività.
Il Garante, intervenuto a seguito dei reclami di diversi dipendenti, ha anche evidenziato i particolari rischi per i diritti dei lavoratori connessi all’uso dei sistemi di riconoscimento facciale, alla luce delle norme e delle garanzie previste sia nell’ordinamento nazionale, sia in quello europeo.
Dall’attività ispettiva del Garante, svolta in collaborazione con il Nucleo speciale privacy e frodi tecnologiche della Guardia di finanza, sono emerse anche ulteriori violazioni da parte delle società in questione. In particolare l’Autorità ha accertato che 3 aziende avevano condiviso per più di un anno lo stesso sistema di rilevazione biometrica, oltretutto senza aver adottato misure tecniche e di sicurezza adeguate. Inoltre il medesimo “sistema”, ritenuto illecito dall’Autorità, era utilizzato presso altre 9 sedi dove operava una delle società sanzionate. Le aziende, infine, non avevano fornito una informativa chiara e dettagliata ai lavoratori, né avevano effettuato la valutazione d’impatto prevista dalla normativa privacy.
Le aziende, ad avviso del Garante, avrebbero dovuto più opportunamente utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro (ad esempio il badge). Oltre al pagamento delle sanzioni il Garante ha ordinato la cancellazione dei dati raccolti illecitamente.